資訊安全心法 — 最小權限原則

2023 年 6 月，微軟發生 1 起資安事故，造成 38TB 的資料暴露在網路上，這 38TB 的資料中還包含 2 位前員工的硬碟備份，其中含有密鑰、密碼、3 萬則通訊軟體(Teams)的內部訊息等等，但據微軟回應在這起事故中沒有客戶資料外洩，也沒有其他內部服務也因這起事故而處於風險（應該啦⋯⋯

造成此件資安事故的原因總歸 1 句——「沒有遵循最小權限原則」

簡單來說，該資安事故起於 1 個 Azure Storage URL 被意外給了最高權限，可以任意存取整個 Storage, 造成私有資料意外裸奔，所以任何人只要知道這個 URL 就可以幹大事，而且這個 URL 還剛好被公佈在微軟其中 1 個 GitHub repository 的 README.md 裡⋯⋯。

要避免這種錯誤，必須在心裡牢記「最小權限原則」，只要有人來申請任何權限，都是給他「最小最剛好可以使用」的權限即可，或者系統要建立使用者帳號、資料庫帳號，也是都使用「最小最剛好可以使用」，如此可以很大程度避免權限過大的帳號、 token 、金鑰外流所造成的資安問題，能盡量控制可能的受災範圍（要汰換全公司帳號、密碼、金鑰真的很麻煩⋯⋯），更能保護自己的職涯（給出過大權限的負責人，也有連帶責任）。

另外，實務上還可以寫一些自動化腳本定期掃描各種帳號、設定有沒有權限過大的問題，等於疊加一層防護，幫忙即時抓漏。 關於更詳細的微軟資安事故分析可以看此以下連結。

Microsoft AI Researchers Accidentally Expose 38 Terabytes of Confidential Data